Der Aufbau einer KNX-IP-Secure-Sitzung verwendet das Protokoll MIKEY (Multimedia Internet KEYing) zur Aushandlung des symmetrischen Sitzungsschlüssels und stützt sich dabei auf die im ETS-Keyring hinterlegten Langzeitschlüssel.

MIKEY wurde an den Kontext KNX IP Secure angepasst (auf Basis von RFC 3830) und ermöglicht den sicheren Sitzungsaufbau mit gegenseitiger Authentifizierung. Die Pre-Master Keys (PMK) werden aus dem Projekt-Keyring abgeleitet, die laufende Sitzung wird mit AES-128 CCM geschützt. Eine Kompromittierung einer einzelnen Sitzung gefährdet andere Sitzungen nicht (teilweise Forward Secrecy).

Eselsbrücke: MIKEY = "Schlüssel-Handshake", AES-128 CCM = "Tresor pro Sitzung" — beide Schichten gemeinsam ergeben KNX IP Secure.